חתלתול דובר איטלקית: ההאקרים חברי Charming Kitten תקפו שוב
קבוצת ההאקרים, שפועלת תחת משמרות המהפכה האיראניים, תקפה מטרות בארצות הברית, אירופה ואסיה עם נוזקה חדשה שפיתחה - בלה צ'או, כשמו של השיר האיטלקי המפורסם
קבוצת ההאקרים הידועה לשמצה החתלתול המקסים (Charming Kitten), שמשויכת למשמרות המהפכה האיראניים, עושה זאת שוב: חוקרים מ-Bitdefender חשפו נוזקה חדשה שבאמצעותה היא תוקפת מטרות במדינות שונות, ובהן יריבותיה של איראן.
כמו לא מעט קבוצות האקרים אחרות, לחתלתול המקסים יש שמות נוספים: היא נקראת גם פוספורוס (Phosphorus, שפירושו זרחן), Mint Sandstorm ו-ITG18. יש לה גם כינוי טכני – Advanced Persistent Threat 35 או 42. הקבוצה מוכרת לחוקרי אבטחה ברחבי העולם מאז 2014.
הפעם מצאו החוקרים כי חברי הקבוצה החלו להשתמש ב-"טפטפת" שבאמצעותה הם מזריקים את הנוזקה החדשה, בעלת השם בלה צ'או (להתראות יפה), כשמו של השיר האיטלקי המפורסם, שבשנים האחרונות חזר כי הוא הושמע בסדרת הלהיט בית הנייר. החוקרים כבר זיהו קורבנות ברחבי העולם שניזוקו – רבים מהם בארצות הברית ובאירופה, אבל גם במזרח התיכון (לא צוין האם בישראל אבל כן צוין שבטורקיה), וכן בהודו.
איך הנוזקה פועלת?
בעוד שווקטור ההתקפה הראשוני עדיין לא ברור, החוקרים מאמינים כי התשתית לפעולת הנוזקה היא ניצול של Microsoft Exchange. זאת, כי שרתי אקסצ'יינג' היוו המטרות העיקריות של הקבוצה. לאחר הפריסה של הנוזקה, היא מפעילה תחילה פקודת PowerShell כדי להשבית את Windows Defender, ואז היא מתחזה ופועלת בסביבת כמה תהליכי אקסצ'יינג' לגיטימיים. בשלב הבא, שתי דלתות אחוריות מסייעות לה לגנוב אישורים, וכן לחפש סיסמאות ומידע מזהה אחר. לבסוף, היא מתקינה קובץ הפעלה מותאם אישית, שמתפקד כשלט פיקוד ושליטה (C2) שלה, ומספק יכולות שיבוש ומעקב באמצעות מה שנראה כבקשות DNS חוקיות. בשלב זה, חברי החתלתול המקסים יכולים להוריד ולהעלות קבצים ולהפעיל פקודות וסקריפטים נוספים.
חוקרי Bitdefender כתבו בדו"ח שלהם כי "ניתוח של הקוד בנוזקה חושף מסע מאורגן היטב, עם מדינות שונות – לפי שמות תיקיות, פרטי חברה ושמות תתי אתרים מקודדים". "הנוזקה הזו מותאמת 'אישית' למטרות הפרטניות שאותן היא תוקפת, והיא מציגה רמת מורכבות גבוהה יותר, המעידה על גישת תקשורת ייחודית עם תשתית הפיקוד והשליטה שלה", ציין מרטין צוג'ק, מנהל הפתרונות הטכניים ב-Bitdefender, בפוסט בבלוג החברה. "היא מאוד ספציפית במיקוד שלה. חברי הקבוצה שייכים לקבוצות האיום המתוחכמות יותר, והם מנסים להקדים את המגינים – על ידי שימוש בכלים מותאמים אישית. זאת, כדי להתחמק מזיהוי. כיוון שהנוזקה מפותחת בהתאמה אישית, בדרך כלל קשה יותר לזהות אותה, מאחר שהיא נוצרה במיוחד כדי להתחמק מזיהוי ומכילה קוד זדוני ייחודי".
תגובות
(0)